Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application / Open Source

Open Source

Bagaimana Anda memperbaiki masalah seperti keamanan sumber terbuka? Google punya ide meskipun kendala mungkin tidak berjalan dengan baik

by

Google telah mengusulkan kerangka kerja untuk mendiskusikan dan menangani keamanan sumber terbuka berdasarkan faktor-faktor seperti identitas terverifikasi, tinjauan kode, dan bangunan tepercaya, tetapi pendekatannya mungkin bertentangan dengan budaya sumber terbuka.

Keamanan perangkat lunak sumber terbuka sangat penting karena penggunaannya yang luas, dari kernel Linux tempat sebagian besar internet berjalan hingga library JavaScript kecil yang dibangun ke dalam jutaan aplikasi web, terkadang melalui rantai dependency yang agak tersembunyi dari pengembang. Kerentanan seperti yang ditemukan baru-baru ini di utilitas sudo penting memengaruhi jutaan sistem.

Sebuah tim dari Google kini telah memposting panjang lebar tentang masalah tersebut dengan harapan dapat “memicu diskusi dan kemajuan industri secara luas dalam keamanan perangkat lunak open source.”

Google menyarankan bahwa “perangkat lunak sumber terbuka harus mengurangi risiko di bagian depan keamanan, karena semua kode dan dependency berada di tempat terbuka dan tersedia untuk pemeriksaan dan verifikasi,” tetapi mencatat bahwa ini hanya berlaku jika orang-orang “benar-benar melihat”.

Tim Google mengakui bahwa tujuannya untuk perangkat lunak kritis “lebih berat dan oleh karena itu akan menemui beberapa hambatan, tetapi kami yakin kendala tambahan sangat penting untuk keamanan.”

Proposal Google mencakup beberapa hal spesifik, dengan catatan bahwa beberapa ide hanya ditujukan untuk perangkat lunak sumber terbuka yang dikategorikan sebagai kritis.

Selengkapnya: The Register

Kerentanan keamanan perangkat lunak open-source ada selama lebih dari empat tahun sebelum terdeteksi

by

Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.

Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.

Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.

Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.

Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.

Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.

Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.

Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.

Sumber: ZDNet